HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials
2025/11/25 CyberSecurityNews — HashiCorp の Vault Terraform Provider に重大なセキュリティ上の欠陥が発見された。この脆弱性を悪用する攻撃者は、有効な認証情報を必要とせずに認証をバイパスし、Vault にアクセスする機会を得る。この脆弱性 CVE-2025-13357 は、Vault の Terraform プロバイダーにおける誤ったデフォルト・コンフィグに起因し、Vault で LDAP 認証を使用する組織に影響を及ぼす。具体的に言うと、LDAP 認証方式の deny_null_bind パラメータが、デフォルトで false にコンフィグされていたことに原因がある。
HashiCorp Vault の脆弱性
このミス・コンフィグにより、LDAP サーバが認証されていない接続を許可していた環境では、重大なセキュリティ・ギャップが生じる。この脆弱性が悪用されると、攻撃者は正当な認証情報なしで Vault にアクセスできる。この認証バイパスは、Vault に機密情報/暗号鍵/その他の重要なデータを保存している組織にとって深刻なリスクとなる。
| CVE ID | Affected Products | Affected Versions | Impact |
|---|---|---|---|
| CVE-2025-13357 | Vault Terraform Provider | v4.2.0 to v5.4.0 | Authentication Bypass |
すでに HashiCorp は、この脆弱性に対処する修正をリリースしている。ユーザー組織は以下の対応を取る必要がある:
- Vault Terraform Provider を v5.5.0 に更新する。それにより deny_null_bind パラメータがデフォルトで正しく true にコンフィグされる。
- Vault Community Edition 1.21.1 または Vault Enterprise バージョン 1.21.1/1.20.6/1.19.12/1.16.28 にアップグレードする。
- LDAP 認証方式の設定において、deny_null_bind パラメータが明示的に true にコンフィグされていることを確認する。
- 古いバージョンのプロバイダーを使用している組織は、Terraform ファイル内でこのパラメータを明示的に設定し、直ちに適用することが求められる。
修正済みの Vault バージョンでは、空のパスワード文字列が受け入れられなくなり、この認証方式による未認証の LDAP 接続が効果的に防止される。
HashiCorp は、この古いパラメータが、将来のリリースでは削除される予定であると発表している。この脆弱性はサードパーティの研究者により発見され、責任ある開示プロセスを通じて HashiCorp に報告された。
LDAP 認証を使用する Vault を運用している組織は、潜在的な悪用からインフラを保護するため、これらのセキュリティ更新を優先的に適用する必要がある。
この脆弱性は、Vault の Terraform Provider における誤ったコンフィグに起因し、LDAP 認証の一部が不適切に動作してしまう状況を生み出します。本来は拒否されるべき「空のパスワードでの接続」を許してしまう設定がデフォルトになっていたことで、攻撃者が認証情報なしで Vault にアクセスできてしまいます。機密情報を扱うサービスで起きると影響が大きいため、早急に修正版へのアップデートや設定確認が必要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、HashiCorp での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.